Перейти к содержанию

Игнорирование признаков атак в бинарных данных

Правила Разрешить бинарные данные и Разрешить типы файлов позволяют уточнить механизм обнаружения атак в бинарных данных.

По умолчанию, чтобы выявить атаку, нода Вебмониторэкс проверяет все входящие запросы на наличие известных признаков атак. При этом нода может не учитывать, что некоторые признаки атак являются стандартными бинарными символами, и ошибочно определять наличие атаки в части запроса с бинарными данными.

Правила Разрешить бинарные данные и Разрешить типы файлов позволяют явно указать части запросов, в которых могут передаваться бинарные данные. Нода не будет анализировать указанные части запросов на наличие признаков атак, которые однозначно не могут передаваться в бинарных данных.

  • Правило Разрешить бинарные данные уточняет поиск признаков атак в частях запросов с любыми бинарными данными (например: архивы, зашифрованные данные).

  • Правило Разрешить типы файлов уточняет поиск признаков атак в частях запросов, в которых передаются определенные типы файлов (например: PDF, JPG).

Создание и применение правила

Вы можете создать и применить правило как в секции События в Консоли управления, так и в секции Правила:

  • В секции События правила создаются с предзаполненным описанием приложения или части приложения, к которой они применяются. Описание соответствует запросу, рядом с которым вы нажали кнопку Правило при анализе запроса.

    Чтобы завершить создание правила, достаточно настроить тип действия правила и убедиться, что все части правила описаны корректно.

  • В секции Правила все части правила необходимо заполнить вручную.

Чтобы создать и применить правило в секции Правила:

  1. Чтобы уточнить поиск атак в бинарных данных, которые передаются любым способом в определенном элементе запроса → создайте правило Разрешить бинарные данные в секции Правила в Консоли управления Вебмониторэкс.

    Правило состоит из следующих частей:

    • Условие описывает приложение или часть приложения, к которой необходимо применить правило.
    • Часть запроса определяет элемент запроса с бинарными данными.

  2. Чтобы уточнить поиск атак в определенных типах файлов, переданных в запросах → создайте правило Разрешить типы файлов в секции Правила в Консоли управления Вебмониторэкс.

    Правило состоит из следующих частей:

    • Условие описывает приложение или часть приложения, к которой необходимо применить правило.
    • Типы файлов, в которых не нужно искать атаки.
    • Часть запроса определяет элемент запроса с указанными типами файлов.

  3. Дождитесь, пока завершится компиляция индивидуального набора правил.

Пример правила

Допустим, пользователь может загрузить бинарный файл с изображением через специальную форму на сайте. Клиент отправляет бинарный файл в параметре fileContents в теле POST-запроса типа multipart/form-data. Запрос отправляется на эндпоинт https://example.com/uploads/.

Чтобы выключить обнаружение признаков атак, которые однозначно не могут передаваться в бинарных данных в параметре fileContents, вы можете создать следующее правило Разрешить бинарные данные:

Пример правила "Разрешить бинарные данные"